עדכון הנחיות הפיקוח על הבנקים בנושא מחשוב ענן


הפיקוח על הבנקים פרסם היום טיוטת הוראת ניהול בנקאי בנושא מחשוב ענן, שמחליפה את מכתב המפקח שפורסם בתאריך ה- 29.06.2015 בנושא: "ניהול סיכונים בסביבת מחשוב ענן".

 

המפקחת על הבנקים, ד"ר חדוה בר: "ההוראה בנושא בנקאות בענן היא המשך לפעילות הפיקוח על הבנקים לקידום הטמעת טכנולוגיות חדשות בבנקאות הישראלית. ההוראה נותנת הקלות לבנקים,  שמעתה יוכלו להטמיע יישומי ענן רבים יותר ללא פניה מראש לפיקוח על הבנקים בבקשת היתר, אלא תוך ניהול סיכונים נאות בתוך הארגון לפי עקרונות שנקבעו בהוראות הפיקוח. שימוש בענן יסייע לבנקים לקדם ולקצר הטמעה של יישומים חדשניים, שיאפשרו שיפור השירות ללקוחות ולחסכון בהוצאות".

 

טיוטת הוראה זו היא פרי של תהליך עבודה מקיף שביצע הפיקוח על הבנקים בנושא מחשוב ענן, שכלל, בין היתר, התייעצויות עם מומחים מקצועיים, בדיקה מול רשויות פיקוח בחו"ל, מיפוי של יישומי ענן שהוטמעו בארגונים פיננסיים בעולם, ובחינה וחשיבה משותפת עם התאגידים הבנקאיים.

 

לשימוש בטכנולוגיות מחשוב ענן במערכת הבנקאית יתרונות רבים, שיש בהם כדי לסייע להתייעלות התאגיד הבנקאי ואף לשפר את התחרות, דוגמת פיתוח והטמעת מוצרים טכנולוגיים וחדשניים בזמן קצר, וחיסכון בעלויות משאבי מחשוב ומשאבי אנרגיה. לצד היתרונות, גלומים בטכנולוגיות אלו גם סיכונים תפעוליים וסיכוני סייבר ואבטחת מידע דוגמת דלף מידע של נתוני לקוחות, תלות בספקים חיצוניים, פגיעה אפשרית בשליטה ובבקרה של התאגיד, הפרעה להמשכיות עסקית של שירותים, ועוד.

ההוראה מתווה הנחיות לתאגידים הבנקאיים המתכננים לעשות שימוש בטכנולוגיות מחשוב ענן, שעיקרן:

  •         ביישומים המשקפים סיכון נמוך, מקלה ההוראה על התאגידים ופוטרת אותם מדרישה להיתר מהפיקוח שהיה נדרש עד היום, ובכך לקדם את השימוש במחשוב הענן על יתרונותיו הרבים (לדוגמא: אתר שיווקי ללא מידע רגיש, יישומי אנליטיקות וכד').
  •         יישומים שלא יוגדרו כבעלי סיכון נמוך יחייבו היתר מהפיקוח על הבנקים (לדוגמא: יישומים הכוללים מידע רגיש כמו נתוני לקוחות).
  •         ההוראה אינה מאפשרת שימוש בטכנולוגיות מחשוב ענן עבור פעילויות ו/או מערכות ליבה של התאגיד הבנקאי.
  •         ההוראה עוסקת גם בהיבטי ממשל תאגידי, לרבות מעורבות  הדירקטוריון וההנהלה הבכירה, ניהול סיכונים והסכם ההתקשרות עם ספקי שירותי הענן.

 

הוראה זו מחליפה את מכתב המפקח מ-29.06.2015. התאגידים הבנקאיים החלו לעשות שימוש ביישומי ענן  מיד לאחר פרסום מכתב המפקח. במהלך שנת 2016 ועד היום, גדל משמעותית מספר היישומים בענן – הפיקוח העניק  37 היתרים ל-10 תאגידים בנקאיים בתקופה זו. 24 מההיתרים ניתנו בהליך מהיר ליישומים שעפ"י לשון הוראה זו לא יחייבו בעתיד קבלת היתר, מה שיקל  על תהליך אימוץ טכנולוגיות מחשוב ענן. סוגי השימושים בענן עבורם קיבלו התאגידים הבנקאיים היתרים  מגוונים וכוללים, בין היתר: יישומי ניתוח ואנליזה, אתר שיווקי, מערכת CRM (ניהול קשרי לקוחות), ניהול מכרזים, הדרכות, ניהול תהליכי שיווק, ועוד.